Acknowledgement
Supported by : 한국저작권위원회
Proceedings of the Korean Information Science Society Conference (한국정보과학회:학술대회논문집)
- 2012.06a
- /
- Pages.80-82
- /
- 2012
- /
- 1598-5164(pISSN)
A SW Testing Procedure for Information Technology Security Evaluation and Vulnerability Analysis
정보 보안 평가 및 취약점 분석을 위한 SW 테스팅 절차
- Kim, Dong-Jin (Department of Computer Science, Dankook University) ;
- Jeong, Youn-Sik (Department of Computer Science, Dankook University) ;
-
Cho, Seong-Je
(Department of Computer Science, Dankook University)
;
-
Park, Min-Kyu
(Department of Computer Engineering, Konkuk University)
;
- Lee, Jin-Young (Korea Internet Security Agency) ;
- Kim, Il-Gon (Korea Internet Security Agency) ;
- Lee, Tae-Seung (Korea Internet Security Agency) ;
- Kim, Hong-Geun (Korea Internet Security Agency)
- 김동진 (단국대학교 컴퓨터과학과) ;
- 정윤식 (단국대학교 컴퓨터과학과) ;
-
조성제
(단국대학교 컴퓨터과학과)
;
-
박민규
(건국대학교 컴퓨터공학과)
;
- 이진영 (한국인터넷진흥원) ;
- 김일곤 (한국인터넷진흥원) ;
- 이태승 (한국인터넷진흥원) ;
- 김홍근 (한국인터넷진흥원)
- Published : 2012.06.22
Abstract
다양한 정보보호 제품이 개발됨에 따라, 정보보호 제품 보증을 위해 자체의 보안성 평가 및 인증이 중요시되고 있다. 정보보호 제품의 평가 및 인증을 위해서는 보안기능 검사와 취약점 분석 단계가 매우 중요하지만 이를 위한 정보보호 제품의 보안기능 시험과 취약성 분석을 위한 테스팅 절차에 대한 연구는 그 중요성에 비해 많이 수행되지 않았다. 현재까지는 보안제품을 기능별로 제품을 분류하여 보안성을 평가하였는데, 본 논문에서는 보안 제품들에서 공격에 취약한 SW 모듈 중심으로 테스팅 대상을 분류하는 방법을 제안한다. 분류된 SW 모듈별로 적합한 보안 테스팅 기법을 정의하고, 보안제품의 취약점을 효과적으로 탐지하기 위해 공개되어 있는 관련 취약점도 분석하였다. 이를 통해 정보보호 제품의 취약점 분석 및 제품 보안성 평가를 위한 SW 모듈별 보안 테스팅 절차를 수립하고, 테스트하였다. 실험을 통해 취약한 SW 모듈별 적절한 공격 기법 선정 시 제안 절차가 정보보호 제품 평가 인증에 활용될 수 있음을 확인하였다.
Keywords